Ağ İzleyicisi paket yakalama dosyalarını inceleme ve analiz etme

Azure Ağ İzleyicisi'nin paket yakalama özelliğini kullanarak Azure sanal makinelerinizde (VM'ler) ve sanal makine ölçek kümelerinde yakalama oturumları başlatabilir ve yönetebilirsiniz:

  • Azure portalından, PowerShell'den ve Azure CLI'dan.
  • SDK ve REST API aracılığıyla programatik olarak.

Paket yakalama ile, bilgileri kullanılabilir bir biçimde sağlayarak paket düzeyinde veri gerektiren senaryoları ele alabilirsiniz. Verileri incelemek için serbestçe kullanılabilen araçları kullanarak, ağ trafiğinizle ilgili içgörüler elde etmek için VM'lerinize veya ölçek kümelerinize gönderilen ve giden iletişimleri inceleyebilirsiniz. Paket yakalama verilerinin örnek kullanımları arasında ağ veya uygulama sorunlarını araştırma, ağ kötüye kullanımı ve yetkisiz erişim girişimlerini algılama ve mevzuat uyumluluğunu koruma sayılabilir.

Bu makalede, Ağ İzleyicisi'nin sağladığı paket yakalama dosyasını açmak için popüler bir açık kaynak aracını kullanmayı öğreneceksiniz. Ayrıca bağlantı gecikme süresini hesaplamayı, anormal trafiği tanımlamayı ve ağ istatistiklerini incelemeyi de öğrenirsiniz.

Önkoşullar

Ağ gecikme süresini hesaplama

Bu örnekte, iki uç nokta arasındaki bir İletim Denetimi Protokolü (TCP) konuşmasının ilk gidiş dönüş süresini (RTT) görüntülemeyi öğreneceksiniz.

TCP bağlantısı oluşturulduğunda, bağlantıda gönderilen ilk üç paket, üç yönlü el sıkışma olarak adlandırılan bir deseni izler. Bu el sıkışmasında gönderilen ilk iki paketi (istemciden gelen ilk istek ve sunucudan gelen bir yanıt) inceleyerek gecikme süresini hesaplayabilirsiniz. Bu gecikme süresi RTT'dir. TCP protokolü ve üç yönlü el sıkışma hakkında daha fazla bilgi için bkz. TCP/IP aracılığıyla üç yönlü el sıkışmasının açıklaması.

  1. Wireshark'ı başlatın.

  2. Paket yakalama oturumunuzdan .cap dosyasını yükleyin.

  3. Yakalamanızda bir [SYN] paketi seçin. Bu paket, istemcinin TCP bağlantısı başlatmak için gönderdiği ilk pakettir.

  4. Pakete sağ tıklayın, Takip Et'i ve ardından TCP Akışı'nı seçin.

    Wireshark'ta TCP akış paketlerini filtrelemeyi gösteren ekran görüntüsü.

  5. [SYN] paketinin İletim Denetimi Protokolü bölümünü genişletin ve ardından Bayraklar bölümünü genişletin.

  6. Syn bitinin 1 olarak ayarlandığını onaylayın ve sağ tıklayın.

  7. Filtre Olarak Uygula'yı seçin ve ardından TCP akışında SYN biti 1 olarak ayarlanmış paketleri göstermek için ...ve seçileni seçin.

    TCP el sıkışmasında yer alan ilk iki paket [SYN] ve [SYN, ACK] paketleridir. [ACK] paketi olan el sıkışmasında son pakete ihtiyacınız yoktur. İstemci [SYN] paketini gönderir. Sunucu [SYN] paketini aldıktan sonra , [ACK] paketini istemciden [SYN] paketini alma bildirimi olarak gönderir.

    Wireshark'ta tcp akışındaki paketleri göstermek için filtrenin nasıl uygulanacağını gösteren ekran görüntüsü.

  8. [SCK] paketini seçin.

  9. İlk RTT'yi saniyeler içinde göstermek için SEQ/ACK analizi bölümünü genişletin.

    Wireshark'ta saniye cinsinden ilk gidiş dönüş süresi olarak gösterilen gecikme süresini gösteren ekran görüntüsü.

İstenmeyen protokolleri bulma

Azure sanal makinesinde çalışan birçok uygulama olabilir. Bu uygulamaların çoğu, bazen açık izniniz olmadan ağ üzerinden iletişim kurar. Ağ iletişimini kaydetmek için paket yakalamayı kullanarak uygulamaların ağ üzerinden nasıl iletişim kurabildiğini araştırabilirsiniz. Araştırma, olası sorunları belirlemenize ve çözmenize yardımcı olur.

Bu örnekte, sanal makinenizde çalışan bir uygulamadan yetkisiz iletişimi gösterebilecek istenmeyen protokolleri bulmak için paket yakalamayı analiz etmeyi öğreneceksiniz.

  1. Wireshark'i açın.

  2. Paket yakalama oturumunuzdan .cap dosyasını yükleyin.

  3. İstatistikler menüsünde Protokol Hiyerarşisi'ni seçin.

    Wireshark'taki İstatistikler menüsünden Protokol Hiyerarşisi'ne nasıl ulaşıldığını gösteren ekran görüntüsü.

  4. Protokol Hiyerarşisi İstatistikleri penceresi, yakalama oturumu sırasında kullanılan tüm protokolleri ve her protokol için iletilen ve alınan paket sayısını listeler. Bu görünüm, sanal makinelerinizde veya ağınızda istenmeyen ağ trafiğini bulmak için kullanışlıdır.

    Wireshark'taki Protokol Hiyerarşisi İstatistikleri penceresini gösteren ekran görüntüsü.

    Bu örnek, eşler arası dosya paylaşımı için kullanılan BitTorrent protokolü trafiğini gösterir. Yönetici olarak, bu sanal makinede BitTorrent trafiğini görmeyi beklemiyorsanız şunları da yapabilirsiniz:

    • Bu sanal makinede yüklü olan peer-to-peer yazılımı kaldırın.
    • Ağ güvenlik grubu veya güvenlik duvarı kullanarak trafiği engelleyin.

Hedefleri ve bağlantı noktalarını bulma

Ağınızdaki uygulama ve kaynakları izlerken veya sorun giderirken trafik türlerini, uç noktaları ve iletişim bağlantı noktalarını anlamak önemlidir. Bir paket yakalama dosyasını analiz ederek sanal makinenizin en çok iletişim kurabileceği hedefleri ve kullandığı bağlantı noktalarını öğrenebilirsiniz.

  1. Wireshark'ı başlatın.

  2. Paket yakalama oturumunuzdan .cap dosyasını yükleyin.

  3. İstatistikler menüsünde IPv4 İstatistikleri'ni ve ardından Hedefler ve Bağlantı Noktaları'nı seçin.

    Wireshark'ta Hedefler ve Bağlantı Noktaları penceresine nasıl ulaşıldığını gösteren ekran görüntüsü.

  4. Hedefler ve Bağlantı Noktaları penceresi, vm'nin yakalama oturumu sırasında iletişim kurduğunu en üst hedefleri ve bağlantı noktalarını listeler. Filtre kullanarak yalnızca belirli bir protokol üzerinden iletişimi görüntülersiniz. Örneğin, Görüntü filtresi kutusuna rdp girerek herhangi bir iletişimin Uzak Masaüstü Protokolü (RDP) kullanıp kullanmadiğini görebilirsiniz.

    Wireshark'ta kullanılan RDP hedeflerini ve bağlantı noktalarını gösteren ekran görüntüsü.

    Benzer şekilde, ilgilendiğiniz diğer protokolleri filtreleyebilirsiniz.

Sonraki adım

Ağ İzleyicisi'nin diğer ağ tanılama araçları hakkında bilgi edinmek için bkz:

Giden bağlantı sorunlarını giderme

  • Last updated on